ตามที่ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) และหน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกประกาศแจ้งเตือนเกี่ยวกับสถานการณ์ภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงระดับสูง ซึ่งอาจส่งผลกระทบโดยตรงต่อโครงสร้างพื้นฐานและข้อมูลสำคัญของหน่วยงานภาครัฐ โดยมีสาเหตุหลักจากสองประการ คือ การตรวจพบกลุ่มแฮกเกอร์ระดับสูง (APT) มุ่งเป้าโจมตีประเทศไทยโดยใช้อุปกรณ์ต่อพ่วง และการค้นพบช่องโหว่วิกฤตในระบบปฏิบัติการ Windows ที่เปิดโอกาสให้ผู้ไม่หวังดีควบคุมเครื่องได้จากระยะไกล จึงมีความจำเป็นเร่งด่วนที่บุคลากรทุกระดับต้องตระหนักและปฏิบัติตามมาตรการป้องกันอย่างเคร่งครัด
สถานการณ์ภัยคุกคามในปัจจุบันมีความซับซ้อนและมุ่งเน้นการโจมตีผ่านทั้งช่องโหว่ทางเทคนิคและพฤติกรรมของผู้ใช้งาน โดยมีรายละเอียดดังนี้:
1. รายละเอียดภัยคุกคามที่สำคัญ
- 1.1 ภัยคุกคามจากกลุ่ม Mustang Panda (APT): มีการตรวจพบการใช้มัลแวร์ชนิดใหม่ชื่อ “SnakeDisk” แพร่กระจายผ่านอุปกรณ์ต่อพ่วงทางพอร์ต USB โดยมีเป้าหมายเจาะจงที่หมายเลข IP ในประเทศไทย มัลแวร์นี้จะทำงานเมื่อเครื่องเป้าหมายออนไลน์ ทำให้ผู้โจมตีสามารถเข้าควบคุมระบบ ขโมยข้อมูลภายใน หรือใช้เครื่องดังกล่าวเป็นฐานในการโจมตีระบบอื่นต่อไป
- 1.2 ช่องโหว่วิกฤตใน Windows (CVE-2025-33073): ค้นพบช่องโหว่ใน Windows SMB Client ซึ่งเป็นช่องโหว่ร้ายแรงที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถโจมตีและเข้าควบคุมเครื่องคอมพิวเตอร์ได้จากระยะไกล (Remote Code Execution) โดยไม่ต้องอาศัยการโต้ตอบจากผู้ใช้
เพื่อเป็นการลดความเสี่ยงและป้องกันความเสียหายที่อาจเกิดขึ้นกับข้อมูลทางราชการ ขอให้ทุกหน่วยงานและบุคลากรปฏิบัติตามแนวทางดังต่อไปนี้:
2. ข้อควรปฏิบัติ (สิ่งที่ต้องดำเนินการทันที)
- อัปเดตระบบปฏิบัติการทันที: ดำเนินการอัปเดต Patch ความปลอดภัยของระบบปฏิบัติการ Windows ให้เป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขจาก Microsoft เพื่อปิดช่องโหว่ CVE-2025-33073
- ควบคุมการใช้อุปกรณ์ USB อย่างเข้มงวด: กำหนดมาตรการตรวจสอบอุปกรณ์ USB ทุกชิ้นก่อนนำมาเชื่อมต่อกับเครื่องคอมพิวเตอร์ของหน่วยงาน โดยเฉพาะเครื่องที่เชื่อมต่อกับเครือข่ายอินเทอร์เน็ตหรือระบบฐานข้อมูลสำคัญ
- ปิดฟังก์ชัน Autorun/Autoplay: ดำเนินการตั้งค่าระบบปฏิบัติการให้ปิดการทำงานของฟังก์ชัน Autorun หรือ Autoplay เพื่อป้องกันไม่ให้มัลแวร์ในอุปกรณ์ต่อพ่วงทำงานโดยอัตโนมัติเมื่อมีการเชื่อมต่อ
- อัปเดตซอฟต์แวร์รักษาความปลอดภัย: ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสและซอฟต์แวร์รักษาความปลอดภัยอื่นๆ ได้รับการอัปเดตฐานข้อมูลให้เป็นปัจจุบันอยู่เสมอ
- เฝ้าระวังความผิดปกติ: สังเกตพฤติกรรมการทำงานของเครื่องคอมพิวเตอร์ หากพบการเข้าถึงระบบที่น่าสงสัย หรือมีกระบวนการทำงานที่ผิดปกติ ให้รีบแจ้งผู้ดูแลระบบหรือศูนย์ประสานงานฯ ทันที
3. ข้อพึงหลีกเลี่ยง (สิ่งที่ห้ามกระทำ)
- หลีกเลี่ยงการใช้อุปกรณ์ USB ที่ไม่ทราบที่มา: ห้ามนำ Flash Drive หรือ External Hard Drive ส่วนตัว หรือที่ไม่ผ่านการตรวจสอบความปลอดภัย มาเสียบใช้งานกับเครื่องคอมพิวเตอร์ของทางราชการโดยเด็ดขาด
- หลีกเลี่ยงการเพิกเฉยต่อการแจ้งเตือนอัปเดต: ห้ามเลื่อนหรือยกเลิกการติดตั้ง Security Patch ที่ระบบแจ้งเตือน การเพิกเฉยเพียงครั้งเดียวอาจหมายถึงการเปิดประตูให้ผู้โจมตีเข้าสู่ระบบเครือข่ายขององค์กรได้
- หลีกเลี่ยงการเชื่อมต่ออุปกรณ์ที่ไม่ได้รับอนุญาต: ไม่นำอุปกรณ์ส่วนตัว (BYOD) ที่ไม่มีความจำเป็นหรือไม่ได้รับอนุญาต มาเชื่อมต่อเข้ากับเครือข่ายภายในของหน่วยงาน ซึ่งอาจเป็นช่องทางนำมัลแวร์เข้าสู่ระบบได้
สรุป
ภัยคุกคามทางไซเบอร์ในปัจจุบันไม่ใช่เรื่องไกลตัวและมีพลวัตสูง การป้องกันที่มีประสิทธิภาพสูงสุดไม่ได้ขึ้นอยู่กับเทคโนโลยีเพียงอย่างเดียว แต่ขึ้นอยู่กับ “ความตระหนักรู้และวินัย” ของผู้ใช้งานทุกคน การปฏิบัติตามมาตรการสุขอนามัยทางไซเบอร์ (Cyber Hygiene) ขั้นพื้นฐาน ทั้งการอัปเดตระบบอย่างสม่ำเสมอและการระมัดระวังการใช้อุปกรณ์ภายนอก ถือเป็นความรับผิดชอบร่วมกันที่สำคัญยิ่งในการปกป้องข้อมูลของทางราชการให้มีความมั่นคงปลอดภัย ขอให้บุคลากรทุกท่านให้ความร่วมมือปฏิบัติตามแนวทางข้างต้นอย่างเคร่งครัด
คำถามเพื่อการมีส่วนร่วม
- หน่วยงานของท่านมีกระบวนการที่ชัดเจนในการตรวจสอบอุปกรณ์ USB ก่อนอนุญาตให้ใช้งานกับเครื่องคอมพิวเตอร์สำนักงานหรือไม่ และท่านได้ปฏิบัติตามอย่างเคร่งครัดเพียงใด?
- ท่านได้ตรวจสอบสถานะการอัปเดต Security Patch ล่าสุดบนเครื่องคอมพิวเตอร์ที่ท่านรับผิดชอบแล้วหรือไม่?
- ในกรณีที่พบเหตุการณ์ที่อาจเป็นภัยคุกคามทางไซเบอร์ ท่านทราบขั้นตอนและช่องทางที่ถูกต้องในการรายงานเหตุการณ์ไปยังผู้รับผิดชอบหรือไม่?
ขอให้พลังสถิตย์อยู่กับท่าน